HWSW Informatikai Kerekasztal: Re: Carbanak: egymilliárd dollárt is veszíthettek a bankok - HWSW Informatikai Kerekasztal

Ugrás a tartalomhoz

Mellékleteink: HUP | Gamekapocs

  • (3 Oldal)
  • +
  • 1
  • 2
  • 3
  • Nem indíthatsz témát.
  • A téma zárva.

Re: Carbanak: egymilliárd dollárt is veszíthettek a bankok

#41 Felhasználó inaktív   java786 

  • Tag
  • PipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 279
  • Csatlakozott: --

Elküldve: 2015. 02. 18. 12:55

@hacsi:
Komolyan, próbálod magyarázni, hogy a tej fekete, hiába vannak vitathatatlan tények, azokat teljesen figyelmen kivül hagyod...

Minden héten van egy olyan hír (persze nem publikus, mert a bankok hozzák nyilvánoságra, csak ha nem tehetnek más), ezt a bankot nyomták fel, abból a bankból loptak pénzt az ügyfelek számlájáról, stb.

"A táblák, mezők egy részéről ki lehet találni, hogy mire valók, de nagy részükről csak a fejlesztők esetleg üzemeltetők tudhatják, mire való."

MInt a cikk is írja "egy támadás átlagosan 2-4 hónap alatt zajlott le." ez alatt bőven lehet elemzni a DB -t a forráskódokat, dokumentációkat, sok rendszerben még a tárolt eljárásokban van az üzleti logika, mellete a fejlesztői kommentekkel, stb.

De erre a cikk is kitért, hogy az alatt a 2-4 hónap alatt tudták elemezni a folyamatokat. Ha tudta azt, hogy pl. mikor indítottak el egy utalást, akkor egy DB logot megnézve sok minden kideríthető...

"A kliensprogramokon keresztül meg nincs az a banki rendszer, ami ezt megengedné."

Tankönyv szerint igen, a gyakorlat sajnos nem ezt mutatja....

#42 Felhasználó inaktív   java786 

  • Tag
  • PipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 279
  • Csatlakozott: --

Elküldve: 2015. 02. 18. 13:05

@hacsi:
Konkrét példa. Pár évvel ezelőtt, magyar pénzintézet, új pénzügyi rendszert szállítottunk. Természetesen szükség volt migrációra a régi rendszerből, rendelkezésre álló dokumentáció nem sok volt és nem lehetett kérdezni az előző rendszer szállítójától (még nem tudták, hogy ki lesznek dobva). Elkezdtük elemezni a forráskódot (szerencsére a nagyja tárol eljárásban volt), logoltuk a felhasználói műveleteket, stb. vagyis szisztematikusan feltérképeztük a db t, és mint utólag kiderült sikeresen

#43 Felhasználó inaktív   NancsiBacsi 

  • Senior tag
  • PipaPipaPipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 3.523
  • Csatlakozott: --

Elküldve: 2015. 02. 18. 14:00

@hacsi: Szerintem ha elmennék az összes magyar bankhoz biztosan találnék olyat, ahol az adatbázis szerver dba/sql név/jelszóval beengedne. Amelyik vastag klienst használ, vagyis a felhasználó saját db userrel lép ki, ott meg ki is tudnám próbálni. Innen kezdve meg miről is beszélünk triggerekről meg tárolt eljárásokról?
Már elévült, meg nem is én csináltam, csak hallottam a kocsmában félrészegen, mert mindig sokat iszok, de mintha lett volna olyan sok 100 millióba kerülő állami weboldal, amibe az egyszeri hülyegyerek beírta a login formba hogy ";delete from users; és láss csodát, az oldal utána fél napig csak adatbázis hiba szöveget szolgáltatott. Ezt is k.rva nehéz elhinni, de hát sajna így van. Ahogy van olyan oldal is, ahol pwd mezőbe beírva egy uniont meg egy dual-os selectet simán belépsz. Hány magyar bank ilyen a 100-ból szerinted? Legyen mondjuk 3. Az már sokaknak elég pénz.

Nem arról volt szó, hogy az összes bankot felnyomták, hanem hogy sok bankot. Mo-n is van vagy 100 - ha felnyomnak itt kettőt, meg minden országban kettőt, az már elég sok. Ha nem is kizárólag senkiháziak kezében van a popszakma, de meglepően sok senkiházi van a popszakmában.

#44 Felhasználó inaktív   UnA 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.482
  • Csatlakozott: --

Elküldve: 2015. 02. 18. 19:13

@NancsiBacsi: "Szerintem ha elmennék az összes magyar bankhoz biztosan találnék olyat, ahol az adatbázis szerver dba/sql név/jelszóval beengedne."

Szerintem nem, mert egy bank csak akkor kaphat mukodesi engedelyt, ha atmegy egy biztonsagi auditon es ezt is tartalmazza termeszetesen. Ez pedig nem amolyan mosolygos ISO audit.

A kocsmai pletykakat pedig nem kell komolyan venni.

#45 Felhasználó inaktív   NancsiBacsi 

  • Senior tag
  • PipaPipaPipaPipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 3.523
  • Csatlakozott: --

Elküldve: 2015. 02. 18. 20:30

@UnA: A mellékelt ábra mutatja, hogy mennyit érnek ezek a biztonsági auditok. Persze fontos fenntartani a látszatot - inkább kiköhögik a kárt, csak fel ne merüljön, hogy esetleg ott is előfordulnak balf.szok. A kocsmai pletykáknak meg akkor hiszek, ha a saját szememmel látom - bár néha még akkor is nehéz :-)

Téma megosztása:


  • (3 Oldal)
  • +
  • 1
  • 2
  • 3
  • Nem indíthatsz témát.
  • A téma zárva.

1 felhasználó olvassa ezt a témát.
0 felhasználó, 1 vendég, 0 anonim felhasználó